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(54) Title: COMPUTING METHOD FOR ELLIPTIC CURVE CRYPTOGRAPHY 
^ (54) Titre: PROCEDE DE C ALCUL POUR LA CRYPTOGRAPHIE A COURBE ELLIPTIQUE 

^ (57) Abstract: The invention concerns fast cryptographic method between two entities exchanging data via a non-secure commu- 
^ nication channel. The method, for example for forming a common key between two entities (A, B) each having a secret key (a, b) 
^ and using a public key (P) formed by a point of an elliptic curve (E), comprises at least a step which consists in multiplying said odd 
^ order point (P) by an integer and said phase comprises operations called additions and halving , the latter operation characterising 
^ die invention. 



^ (57) Abrege: Proc£d£ de cryptographic rapide entre deux entiles echangeant des informations a travers un canal de communication 
non securis£. Le procedd, par exemple pour la constitution d'une clef commune entre deux entites (A, B) posse<iant chacune une 

Q clef secrete (a, b) et faisant toutes deux appel a une clef publique (P) constitute par un point d'une courbe elliptique (E), comprend 
au moins une phase consistant a multiplier ledit point (P) d'ordre impair par un entier et cette phase comprend des operations dites 

^ "additions" et "divisions par deux", cette derniere operation Ctant caracteVistique de V invention. 
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PROCEDE DE CALCUL POUR LA CRYFTOGRAPHIE A COURBE ELUPT1QUE 

L'invention se rapporte a un procede de cryptographie mis en oeuvre entre 
deux entites echangeant des informations a travers un canal de communication 
non securise, par exemple un reseau cable ou hertzien et permettant d'assurer 
la confidentially et I'integrite des transferts d'informations entre ces deux entites. 
5 L'invention conceme plus particulierement un perfectionnement aux 
cryptosysternes mettant en oeuvre des calculs sur une courbe elliptique. Le 
perfectionnement permet principalement de reduire les temps de calcul. 

On connalt un protocoie de cryptographie, plus particulierement utilise 
pour reaiiser un echange de clefs securise entre deux entites. II est connu sous 
10 I'appellation "Echange de Clefs de Diffie-Hellmann" ou "ECDH". Sa mise en 
oeuvre necessite ('utilisation d"un groupe au sens mathematique du terme. Une 
courbe elliptique du type : 

y 2 +xy = x 3 + ax 2 +p 
peut constituer un groupe utilisable dans un tel proced6 ; 
15 On sait que si P= (x,y) appartient a la courbe elliptique E, on peut definir 

un "produit" ou "multiplication scalaire " du point P de E par un entier m. Cette 
operation est definie comme suit : 

[m] P = P + P + P ....+ P (m fois) 
On sait que dans un algorithme du type "ECDH", on utilise la multiplication 
20 par 2 d'un point P choisi d'une telle courbe elliptique. Cette operation s'appelle 
"doublement de point" et s'inscrit dans un processus iteratif de doublement-et- 
addition. Une telle multiplication par 2 requiert du temps. 

La partie la plus lente du protocoie d'Echange de Cles de Diffie-Hellman 
(ECDH) est la multiplication d'un point de la courbe non connu a Tavance par un 
25 scalaire aleatoire. On ne considere ici que les courbes elliptiques definies sur un 
corps de caracteristique 2 ; c'est un choix repandu pour les implementations, car 
I'addition dans un tel corps correspond a Toperation '"ou exclusif '. 

II est connu que la multiplication par un scalaire peut etre acceleree pour 
les courbes definies sur un corps de faible cardinality en utiiisant le morphisme 
30 de Frobenius. On peut choisir les courbes de sorte qu'aucune des attaques 
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connues ne s'appiique a elles. Cependant, il est evidemment preferable, au 
moins sur le plan du principe, de pouvoir choisir la courbe que Ton veut utiiiser 
dans une ciasse de courbes aussi generate que possible. La methode decrite 
dans ('invention s'appiique, dans sa version la plus rapide, a la moitie des 
5 courbes elliptiques. De plus, d'un point de vue cryptographique, cette moitie est 
la meilleure, Avant de donner le principe de la methode, on rappelle les concepts 
de base. 

Pour illustrer simplement, prenons la courbe eliiptique (E) repr6sentable 
geometriquement d6finie sur Pensemble R des nombres reels par ('equation y 2 * 
10 y = x 3 - x 2 , representee sur la figure 1 ou une ligne horizontal represente un 
nombre entier m, une ligne verticale represente un nombre entier n et chaque 
intersection de telles lignes horizontal et verticale represente la paire de 
coordonn6es entieres (m, n). 

(E) passe par un nombre fini de points a coordonnees entieres, et toute 
15 secante a (E) issue d'un tel point recoupe (E) en 2 points, eventueilement 
confondus (cas des tangentes a la courbe). 

L'operation d'addition entre deux quelconques de ces points A et B est 
definie de la maniere suivante : soit Bi le point ou la droite (AB) recoupe (E) ; la 
verticale de Bi recoupe (E) en C = A + B. 
20 Dans le cas particulier ou (AB') est tangente a (E), C est la somme 

cherchee. 

Le point O, "intersection de toutes les verticales", est appele point a rinfini 
de (E) et est Telement neutre de Taddition ainsi definie, puisqu'en appliquant la 
construction geom6trique de definition de I'addition, on a bien : A+O = O+A = A. 
25 Le doublement de A, note [2]A et defini comme : A + A, est done le 

point B\ la droite (Ax) etant tangente en A a (E). 

En appliquant au point B' la construction d'addition de A, on obtiendrart le 
point [3] A, et ainsi de suite : e'est la definition du produit [n]A d'un point par un 
entier. 

30 La presente invention concerne en fait une famille de courbes elliptiques, 

non representables geometriquement mais definies comme suit : 
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Soit n un entier donne, F 2 „ le corps de 2 n elements, et F^sa cloture 
algebrique. Soit O le point a rinfini. On appelle courbe elliptique E non 
supersinguiiere definie sur F, n I'ensemble : 

E = {(x f y)€ F^X F^l^ + xy = x 3 + ax 2 +p} u {O} a, p e F 2 n , p* 0 

Les elements de E sont habituellement appeles "points". II est bien connu 
que E peut etre dote d'une structure de groupe abelien en prenant le point a 
I'infini comme element neutre. Dans ce qui suit, on considere le sous-groupe fini 
des points rationnels de E, defini par : 

E(F 2 J = {(x,y)€F 2 „XF 2 , |y* + xy = x 3 + ax 2 + p} u {0} a, p e F 2 \ P*0 

N etant I'ensemble des entiers naturals, pour tout m ^ N, on definit dans E 
Tapplication "multiplication par m" par : 
[m] : E ->E 

P ->P + + P (m fois) et VP eE :[o]P=0 

On note E[m] le noyau de cette application. Les points du groupe E[m] 
sont appeies les points de m-torsion de E. La structure de groupe des points de 
m-torsion est bien connue. 

En se limitant au cas ou m est une puissance de 2, on a : 

VkeN:E[2 k ]=Z/2 k Z 
ou Z est Tensemble des entiers relatifs. 

Comme E(F 2n ) est un sous-groupe fini de E, il existe k' >1 tel que E [2 k ] 

est contenu dans E(F 2 , ) si et seulement si k < k\ Si on se limite aux courbes 

elliptiques E pour lesquelles k'=1 t la staicture de E(F 2 „ ) est : 

E(F 2 „) = Gx{0, T 2 } 

ou G est un groupe d'ordre impair et T 2 designe le point unique d'ordre 2 de E. 
On dit qu'une telle courbe a une 2- torsion minimale. 

On est maintenant en mesure d'expliquer le but de ('invention. La 
multiplication par deux, n'est pas injective lorsqu'elle est definie sur E ou E(F 2 . ), 
car elle a pour noyau : E[2] ={ O, T 2 }. 
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Par ailleurs, si on reduit le domaine de definition de la multiplication par 2 
a un sous-groupe d'ordre impair G c E(F lM ), la multiplication par 2 devient 
bijective. 

II en resulte que la multiplication par 2 admet sur ce sous-groupe une 
application inverse que nous appellerons division par 2 : 
[1/2] : G-»G 

P->Q tel que:[2]Q = P 

On note [1/2] P le point de G auquel ('application de doublement fait 
corresponds le point P. 
Pour tout k>1, on ecrit : 



2 k 



Pour representer k compositions de Papplication de division par 2 avec 
elle-meme. 

De fa?on generate Tinvention concerne done un procede de cryptographie 
mis en oeuvre entre deux entites echangeant des informations a travers un canal 
de communication non securise, du type comprenant au moins une phase 
operatoire consistant a multiplier un point d'ordre impair d'une courbe elliptique 
non supersinguliere par un entier, caracteris§ en ce qu'une telle phase 
operatoire comprend des additions et des divisions par deux de points de ladite 
courbe elliptique; ou I'addition de points est une operation connue, et la division 
par deux d'un point P est definie comme le point unique D d'ordre impair tel que 



[2]D=P, un tel point etant note 



P , et ('operation de division par 2 : 



(.'application de division par 2 est interessante pour la multiplication 
scalaire d'un point d'une courbe elliptique pour la raison suivante : si Ton travaille 
en coordonnees affines, il est possible de remplacer toutes les multiplications de 
point par 2 d ! une multiplication scalaire par des divisions de point par 2. 

La division par 2 d'un point est bien plus rapide a calculer que sa 
multiplication par 2. D'un point de vue cryptographique, il est bon d'avoir a choisir 
parmi le plus grand nombre de courbes possible, et on a coutume d'utiliser une 
courbe pour laquelle la 2-torsion de E(F 0 „ ) est minimale ou isomorphique a Z/4Z. 
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Pour un corps F,„ donne, ies courbes elliptiques de 2-torsion minimate 
constituent exactement la moitie de I'ensemble des courbes elliptiques definies 
sur F 2 „ . C'est pourquoi, bien qu'etle ne soit pas totalement generate, la methode 

decrite s'applique, dans sa version la plus rapide, a une bonne partie des 
5 courbes interessantes en cryptographie. Elie est toujours applicable dans le cas 
ou Ies elements du corps sont representes dans une base normale. Dans le cas 
d'une base polynomiale, I 'espace memoire requis est de I'ordre de 0(n 2 ) bits. 

Certains exemples sont donnes ci-dessous, en reference aux dessins 
annexes dans lesquels : 
10 - la figure 1 est un graphe illustrant une courbe elliptique tres particuliere 

mais representable geometriquement, permettant de clarifier des operations 
elementaires mises en oeuvre dans le cadre de I'invention, ces operations etant 
explicitees ci-dessus ; 

- la figure 2 est un schema illustrant des echanges d'informations 
15 conformes a Invention, entre deux entites ; 

- Ies figures 3 a 6 sont des organigrammes explicitant certaines 
applications conformes a I'invention ; et 

- la figure 7 est un schema-bloc d'un autre systeme d'echange 
d'informations entre deux entites A et B, susceptible de mettre en oeuvre un 

20 processus de cryptographie conforme a Tinvention. 

On va montrer comment calculer [1/2] P e G a partir de P e G. Puis on 
montrera comment rempiacer Ies doublements de points par des divisions par 2 
pour executer une multiplication par un scalaire. 

On utilisera la representation affine habituelle d'un point : P=(x,y) et la 
25 representation : (x, ^ p ) avec ^ p =x+y / x 

On tire de la deuxieme representation y = x (x + X p ) qui n'utilise qu'une 
multiplication. 

En procedant ainsi, pour multiplier un point par un scalaire, on economise 
Ies multiplications en calculant Ies resultats intermediates a Taide de la 
30 representation (x, ) et on ne determine la coordonnee de la representation 

affine qu'en fin de calcul. 

La division par deux d'un point P s'obtient de la fa?on suivante : 
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Soil a calculer [1/2] P a partir de P. On considere pour cela les deux points de 
E : 

P = (x,y) = (x, x (x + ?. p )) 

etQ = (u,v) = (u, u (u + a q )) 
tels que : [2]Q= P 

Les formules de multiplication par 2 connues donnent 
/. Q = u + v/u (1) 
x= X Q 2 + Aq+cc (2) 
y=(x+u) 2q+x + v (3) 
Multipiiant (1 ) par u et reportant la valeur de v ainsi obtenue dans (3), ce 
systeme devient : 

v = u (u Q ) 
X q 2 + A Q=a + x 

y = (x + u) X Q +x + u 2 + u X Q = u 2 + x ( X Q + 1 ) 
ou, puisque y = x ( x + x ) : 

Ao 2 +A Q =a + x (i) 
u 2 = (x(A Q +1) + y=(A Q +\ + x + 1) (ii) 
v = u(u+A Q ) (iii) 
En partant de P = (x,y) = (x, x (x + \ )) en coordonnees affines ou en 

representation (x, X p ), ce systeme d'equations determine ies deux points : 

[1/2] P e G et [1[/2] P + T 2 e E(F 2 , ) \ G 

qui donnent P par multiplication par 2. La propriete qui suit permet de la 
distinguer. 

Soit E une courbe elliptique a 2-torsion minimale, et 
P e E(F 2 „ ) = G x {O, T 2 } I'un de ses elements d'ordre impair. 
Soit Q e{[1/2] P, [1/2] P+ T2} et Qi I'un des deux points de E tels que [2]Q,= Q. 

On a la condition necessaire et suffisante : 

Q + [1/2]PoQ,eE(F 2 .) (a) 
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On en deduit qu'il est possible de tester si Q = [1/2] P en appliquant les 
formules (i), (ii) et (iii) a Q et en verifiant si Tun de points obtenus appartient a 

E(F 2 .)- 

Ce procede peut etre etendu a une courbe elliptique 
5 arbitrage E (F 2 J = G x E [2 k ]. Pour cela on applique k fois les formules (i), (ii) et 

(iii) : la 1 ere fois a Q, pour obtenir Q 1( tel que [2] Qi = Q; la ieme fois a Q M pour 
obtenir un point Q if tel que [2] Qj = Q M . Le point resultat Q k sera de la forme 

—^j P+T 2 , +l si et seulement si Q = [1/2JP + T 2 et ii sera de la forme 

P+T 2i avec 0 < i <k si et seulement si Q = [1/2]P. On a done la 

1 0 condition necessaire et suffisante : 

Q = [1/2]PoQ K € E(F 2 .) 
Ce procede est evidemment long si k est grand. 

La relation (a) montre que Ton peut savoir si Q = [1/2]P ou Q = [1/2]P + T 2 
en regardant si les coordonnees de Q 1( appartiennent a F 20 ou a un sur-corps de 

15 F,,,. Comme Qi est determine par les equations (i), (ii) et (iii), nous avons a 
etudier les operations utilisees dans la resolution de ces equations qui ne sont 
pas internes au corps, mais ont leur resultat dans un sur-corps de F 2 „ . Le seul 

cas possible est celui de la resolution de {'equation du 2 nd . degre (i) : on doit 
aussi calculer une racine carree pour calculer la 1 ere coordonnee de Q 1f mais en 
20 caracteristique 2 la racine carree est une operation interne au corps. On a done : 

Q = (u t v) =[1/2]P o3l€ F 2 , : A 2 + 2=a + u 

Cette condition necessaire et suffisante s'ecrit aussi, puisque la racine 
carree est interne au corps : 

Q = (u f v) = [1/2] P o 3A e F 2 „ : A 2 + ^ = a 2 + u 2 

25 La relation precedente permet d ! optimiser I'algorithme enonce ci-dessous 

dans les cas ou le temps de calcul de la racine carree n'est pas negiigeable. 

Pour P eG, les 2 solutions de (i) sont /Limpet 2[i/2jp + 1, et on deduit de 

(ii) que les 1eres coordonnees des points associes sont u et (u + ). On peut 
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done en deduire un algorithme permettant de calculer [1/2]P de la fa?on 
suivante : 

Si ¥ r est un corps fini de 2 n elements, E (F„. ) est le sous-groupe d'une 
courbe elliptique E, defini par : 

E(F 2 „ ) = {(x,y)€ F, n X F 2 „ ly' + xy = x 3 + ax 2 + p} U {0} a, p e F 2 „ , p^O, 
et E[2 k ] est I'ensemble des points P de ladite courbe elliptique tels que P, 
additionne 2 k fois a lui meme donne I'element neutre O avec k entier superieur 
ou egal a 1, alors, un point P = (x f y) de ladite courbe elliptique donne par ladite 



division par deux le point 



P= (u 0 , v 0 ) de ladite courbe elliptique, obtenu en 



effectuant les operations suivantes illustrees par rorganigramme de ia figure 3 : 

• on cherche une premiere valeur X 0 telle que X 2 + X D = a + x 

• on calcule une seconde valeur u 0 2 telle que u 0 2 = x (X 0 + 1 ) + y 

• si k vaut 1, on cherche si ('equation : X 2 +A = a 2 + u 0 2 a des solutions dans 

F 2n , 

• dans ('affirmative on calcule ladite division par deux par : 



2 

0 



V 0 = U 0 (U 0 + Xo) 



et 



P = (U 0> V 0 ) 



• dans la negative, on ajoute x a ladite deuxieme valeur u D 2 et on ajoute 1 a 
ladite premiere valeur X*> pour calculer ladite division par deux comme dans 
I'operation precedente ; 

• si k est plus grand que 1, on effectue un calcul iteratif consistant a : 
chercher une valeur A i , telle que A j 2 + X- t = a + Um 

puis calculer la valeur u 2 telle que u 2 = um (X\ + X^ + u^ +1) 
en incremental i a partir de i=1 jusqu'a obtenir la valeur u k-i 2 

• on cherche si ('equation X 2 + X = a 2 + u 2 m a des solutions dans F „ 
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• dans ('affirmative on caicule iadite division par deux par : 



V 0 = Uo (U 0 + ?wo) 



et 



P = (Uo, V 0 ) 



• dans la negative, on ajoute x a Iadite deuxieme valeur u c 2 et on ajoute 1 a 
Iadite premiere valeur X D pour calculer Iadite division par deux comme dans 
('operation precedente. 



Si on choisit de representer le point 



P = (u 0 , v 0 ) de la courbe eliiptique 



par (u 0 ,,^o) avec Xo = u 0 + v c /u 0f alors I'algorithme est conforme a 
I'organigramme de la figure 4 ou : 

• on cherche une premiere valeur telle que + A* = a + x 

• on caicule une seconde valeur u 0 2 telle que : u D 2 = x 1 )+ y, 

• si k vaut 1, on cherche si ('equation : X 2 0 -f *. 0 =cr+u 2 0 a des solutions dans 

• dans raffirmative on caicule Iadite division par deux par : 

U 0 = 



2 

> 0 



et : 



P = (Uo, Xo) 



• dans la negative, on ajoute x a Iadite deuxieme valeur u G 2 et on ajoute 1 a 
Iadite premiere valeur Xo pour calculer Iadite division par deux comme dans 
('operation precedente ; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur X \ , telle que A j 2 + X\ = a + un 

puis calculer la valeur u 2 telle que u 2 = u M (h + h.<\ + u M +1) 
en incremental i a partir de i = 1 jusqu'a obtenir la valeur u 2 k-i 

• on cherche si ('equation k 2 + X = a 2 + u\-i a des solutions dans F n 
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• dans TafRrmative on calcule ladite division par deux par : 



et 



P = (Uo, A 0 ) 



• dans la negative, on ajoute x a ladite deuxieme valeur u D 2 et on ajoute 1 a 
ladite premiere valeur 7^ pour calculer ladite division par deux comme dans 
I'operation precedente. 

Si on choisit de representer le point P = (x,y) par ( x f x p ) en posant x p = 



x+y/x qui donne par ladite division par deux le point 



P = (u 0 ,v 0 ) de ladite 



courbe eliiptique alors Palgorithme est conforme a rorganigramme de la figure 5 
ou : 

• on cherche une premiere valeur X 0 telle que X 2 + 7^ = a + x 

• on calcule une seconde valeur u D 2 telle que u 0 2 = x + X p + x + 1 ) 

• si k vaut 1, on cherche si ('equation : X 2 +X =a 2 +u 0 2 a des solutions dans 
F 

• dans Paffirmative on calcule ladite division par deux par : 



2 

l 0 



Uo= V 11 * 
V 0 = U 0 (U 0 + K) 



et : 



P = (Uo, V 0 ) 



• dans la negative, on ajoute x a ladite deuxieme valeur u D 2 et on ajoute 1 a 
ladite premiere valeur 7± D pour calculer ladite division par deux comme dans 
I'operation precedente; 

• si k est plus grand que 1, on effectue un calcul iteratif consistant a : 
chercher une valeur^ \ , telle que X \ 2 + 7^ = a + um 

puis calculer la valeur u 2 telle que u 2 = um (X\ + + u M +1) 
en incremental i a partir de i=1 jusqu'a obtenir la valeur u 2 k-i 

• on cherche si ('equation X 2 + X = a 2 + u 2 ^ a des solutions dans F . 
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• dans Paffirmative on calcule ladite division par deux par : 



V 0 = U 0 (U 0 + 7s*) 



et 



P = (U 0I V 0 ) 



• dans ia negative, on ajoute x a ladite deuxieme valeur u 0 2 et on ajoute 1 a 
ladite premiere valeur X 0 pour calculer ladite division par deux comme dans 
('operation precedente. 

Enfin, si on choisit de representer le point P= (x,y) par (x, X?) avec 



X P = x + y/x qui donne par ladite division par deux le point 



P = (u 0 , v 0 ) de la 



courbe elliptique represents par (u c , )^) avec X 0 = u D + vo/u 0 alors falgorithme est 
conforme a I'organigramme de la figure 6 ou : 

• on cherche une premiere valeur X 0 telle que X^ + X Q = a + x 

• on calcule une seconde valeur u D 2 telle que u 0 2 = x +A, P + x + 1), 

• si k vaut 1, on cherche si ('equation : k 2 +X =a 2 +u c 2 a des solutions dans 
F 2B , 

• dans ('affirmative on calcule ladite division par deux par : 
u 0 = *J~u { 



i 

L o 



et 



P = (Uo, Xo) 



• dans la negative, on ajoute x a ladite deuxieme valeur u D 2 et on ajoute 1 a 
ladite premiere valeur X 0 pour calculer ladite division par deux comme dans 
I'operation precedente ; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 

chercher une valeur ;i s , telle que^i 2 + X\ = a + Um 
puis calculer la valeur u 2 telle que u 2 = u M (h + a m + u M +1 ) 
en incrementant i a partir de i=1 jusqu'a obtenir la valeur u 2 k-i 

• on cherche si ('equation X 2 + X = a 2 + u 2 k _i a des solutions dans F,„ 
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• dans Taffirmative on calcule ladlte division par deux par : 



2 

l 0 



et 



• dans la negative, on ajoute x a ladite deuxieme valeur u Q 2 et on ajoute 1 a 
ladite premiere valeur ^ 0 pour calculer ladite division par deux comme dans 
('operation precedente. 

On va maintenant decrire comment effectuer rapidement le test, la 
resolution de I'equation du second degre, et le calcul de la racine carree dans 
I'algorithme de division d'un point par 2. On considerera les deux cas en base 
normale et polynomiale. 

Les resultats en base normale sont connus. On peut considerer F 2 „ 

comme espace vectoriel a n dimensions sur F 2 . Dans une base normale, un 
element du corps est represents par : 



*=&P 2 ' X { €{0,1} 

i=0 

ou peF,„est choisi tel que : ^p 2 ,...^ 20 " 1 } est une base F 2 „ . Dans une base 

normale, la racine carree se calcule par un decalage circulaire gauche, et 
('elevation au carre par un decalage circulaire droit. Les temps de calcul 
correspondants sont done negligeables. 

Si Tequation du second degre : X 2 + X = x a ses solutions dans F B , une 
solution est alors donnee par : 

n-l i 

^ = S^P 2 avec:Ai=2 Xi 1 ^ i < n — 1 

i=l k=1 

Le temps de calcul de X est negligeable devant le temps de calcul d'une 
multiplication ou d'une inversion dans le corps. Comme le temps de calcul d'une 
solution de Tequation du second degre est negligeable, on peut effectuer le test 
de ia maniere suivante : calculer un candidat JLa partir de x et tester si A 2 + A = 
x. Si ce n'est pas le cas, ('equation n'a pas de solution dans F,„ . 
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En base poiynomiale, on utilise la representation : 

!!-| 

x = avec Xj €{0,1}. La racine carree de x peut etre calculee en stockant 

I'element Vt si Ton remarque que : 

- dans un corps de caracteristique 2, la racine carree est un morphisme 
du corps, 

V *-^\ pair ' pair ' 

Regroupant dans x les puissances paires et impaires de T et prenant la 
racine carree, il vient : 

i pair i impair 

ainsi, pour calculer une racine carree, il suffit de "reduire" deux vecteurs de 
moitie, et d'executer ensuite une multiplication d'une valeur precalculee par un 
element de longueur n/2. C'est pourquoi le temps de calcul d'une racine carree 
dans une base poiynomiale est equivalent a la moitie du temps de calcul d'une 
multiplication dans le corps. 

Pour le test et la resolution de ['equation du second degre, considerons 
F 2 „ comme un espace vectoriel a n dimensions sur F 2 . Uapplication F definie 
par : 

F : F 2 „ F 2 „ 

X -> X 2 + X 
est alors un operateur lineaire de noyau {0, 1} 

Pour un x donne, ('equation: 1? + X = x a ses solutions dans F, B si et 

seulement si le vecteur x est dans Pimage de F. Im(F) est un sous-espace de F 2 „ 

a n -1 dimensions. Pour une base donnee de F 2 „ , et le produit scalaire 

correspondant, il existe un seul vecteur non trivial orthogonal a tous les vecteurs 
de Im(F). Soit w ce vecteur. On a : 

3X € F 2D : X 2 + X = x <=> x • w = 0 
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Ainsi I'execution du test peut se faire en additionnant les composantes de 
x auxquelles correspondent des composantes de w egales a 1. Le temps 
d'execution de ce test est negligeable. 

Pour la resolution de I'equation du 2 nd .degre : F(x) = x 2 + = x dans une 
base polynomiale, on propose une methode simple et directe imposant le 
stockage d'une matrice n x n. Pour cela, on cherche un operateur lineaire G tel 
que : 

Vxelm(F) :F(G(x))=(G(x)) 2 + G(x)=x 

Sort 7 € F 2 " un vecteur tel que 7 elm(F) et definissons G par: 

G = F' avec f(p)= J y si : i = 0 

1 f(t) si: 1 < i < n-1 

Etant donne x = £w*/^(r) e Im(F) alors G(x) est solution de Tequation 

du 2 nd degre. Une implementation consiste a precalculer la matrice representant 

G dans la base {1,T, T"" 1 }. En caracteristique 2, la multiplication d'une 

matrice par un vecteur se reduit a Taddition des colonnes de la matrice 
auxquelles correspondent un composante du vecteur egale a 1. II s*ensuit que 
cette methode de resolution d'une equation du 2 nd degre consomme en moyenne 
n/2 additions dans le corps F 20 . 

On decrit ci-dessous Tapplication des principes exposes a la multiplication 
scalaire. 

Soient P € E (F 2n ) U n point d'ordre r impair, c un entier aleatoire et m la 

partie entiere de log2 (r). Calculons le produit [c]P d'un point par un scalaire en 
utilisant ('application de division d'un point par 2. 
On demontre que : 

Pour tout entier c; il existe un nombre rationnel de la forme : 

is- ^{0,1} 

tel que : 

cs Zd- ( modr ) 

1=0 
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Soit <P> le groupe cydique genere par P. Comme on a Pisomorphisme 
d'anneaux: 

P « Z/rZ 
[k]P -> k 

On peut calculer la multiplication scalaire par: 



[c]P = S, 

»=o L - 

en utilisant des divisions par 2 et des additions. L'algorithme bien connu de 

doubiement-addition peut etre utilise pour ces calculs. II suffit pour cela de 

remplacer dans Palgorithme les doublements par des divisions par 2. II faut 
10 executer log 2 (r) divisions par 2 et, en moyenne, 1/2 log 2 (r) additions. II existe 

des ameliorations a Palgorithme de doubiement-addition qui ne demandentque 

1/3 log 2 (r) additions en moyenne. 

Par consequent une multiplication scalaire precitee utilisant une division 

par deux telle que definie ci-dessus est obtenue par les operations suivantes : 
15 - si ledit scalaire de la multiplication est note S, on choisit m+1 valeurs 

So... Sm e {0,1} pour definir S par : 

m f r 4- 1 

- r etant I'ordre impair precite et m etant rentier unique compris entre 
log 2 (r) -1 et log 2 (r), 

20 - on calcule la multiplication scalaire [S]P d'un point P de ladite courbe 

elliptique par le scalaire S par application d ! un algorithme consistant a 
determiner la suite de points (Q m+ i, Q m .... Qi---, Qo) de ladite courbe elliptique E 
telle que : 

Qm+i = O (element neutre) 



25 Qi = [SJP + 



Q i + 1 aveco < i < m 



- le calcul du dernier point Q 0 de ladite suite donnant le resultat [S] P de 
ladite multiplication scalaire. 



Pour additionner le point P initial a un resultat intermediaire Q= 



Q i( on 



utilise Palgorithme suivant, qui est Palgorithme traditionnel, legerement modifie: 
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Entree: P = (x,y) en coordonnees affines et Q = (u, u(u + X Q )) represents 
par (u, Xq) 

Sortie: P + Q = (s, t) en coordonnees affines 
alaorithme: 

1. Caiculer: X = y + u(u + ^ } 

x + u 

2. Calcuier: s^Ar + X + a + x + u 

3. Caiculer: t = (s + x)?c + s + y 

4. Resuitat: (s t t) 

Get algorithme utilise 1 inversion, 3 multiplications, et 1 racine carree. 

Le gain de temps obtenu en rempla?ant les operations de multiplication 
par 2 par des divisions par 2 est important. En coordonnees affines, la 
multiplication par 2 et I'addition demandent toutes deux: une inversion, deux 
multiplications, et une racine carree. Si le scalaire de la multiplication par un 
scalaire est represents par un vecteur de bits de longueur m et de k 
composantes non nulles, les operations pour la multiplication scalaire 
demandent : 



operation 


doublement et addition 


Division par 2 et addition 


inversions 


m + k 


k 


multiplications 


2m + 2k 


m + 3k 


carres 


m + k 


k 


resolution 7S+X=a+x 


0 


m 


racines carrees 


0 


m 


tests 


0 


m 



Ainsi, en utilisant la division par 2, on economise m inversions, m-k 
multiplications, et m carres, au prix de m resolutions du 2 nd .degre, m racines 
carrees et m tests. 

En base polynomiale, on peut obtenir une amelioration en temps 
d'execution voisine de 50%. 
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En base normale, on estime ie temps de calcui de ia racine carree, du test 
et de la resolution d'equation du 2 nd . degre negligeable devant le temps de calcul 
d'une multiplication ou d'une inversion. En supposant en outre que le temps de 
calcul d'une inversion est equivalent au temps de calcul de 3 multiplications, on 
5 arrive a une amelioration du temps d'execution de 55%. 

La figure 2 illustre schematiquement une application possible des 
aigorithmes decrrts ci-dessus, mis en oeuvre entre deux entites A et B 
echangeant des informations a travers un canal de communication non securise. 
Ledit canal de communication peut se resurner ici a de simples liaisons 

10 electriques etablies entre les deux entites le temps d'une transaction. II peut 
aussi comporter un reseau de telecommunication, hertzien et/ou optique. En 
I'occurrence, ici I'entite A est une carte a microcircuit et Pentite B est un serveur. 
Une fois mis en relation Tune avec Pautre par ledit canal de communication, les 
deux entites vont appliquer un protocole de construction d'une clef commune. 

15 Pourcefaire: 

- I'entite A possede une clef secrete a 

- Pentite B possede une cief secrete b 

Elles doivent elaborer une clef secrete x connue d'elles seules, a partir 
d'une clef publique constitute par un point P d'ordre impair r d'une courbe 
20 elliptique E choisie et non supersinguliere. 

Le protocole mis en oeuvre est du type de Diffie-Hellman en remplacpant 
les "multiplications par deux " habituelles dites doublements de point par 
Poperation dite de "division par deux", selon ('invention decrite ci-dessus. 
Pour ce faire, Palgorithme est ie suivant : 
25 - la premiere entite (par exemple A) calcule ia multiplication scalaire [a]P 

et envoie le point resultat a la seconde entite, 

- la seconde entite (B) calcule la multiplication scalaire [b]P et envoie le 
point resultat a la premiere entite, 

- les deux entites calculent respectivement un point commun (C) = (x,y) de 
30 ladite courbe elliptique (E) en effectuant respectivement les multiplications 

scalaires [a] ([b]P) et [b] ([a]P), toutes deux egales a [a.b]P, 

- les deux entites choisissent comme clef commune la coordonnee x dud it 
point commun (C) obtenu par ladite multiplication scalaire [a.b]P, au moins I'une 
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des multiplications scalaires precedentes, et de preference toutes, etant 
effectuee a I'aide de divisions par deux predefinies. 

A titre d'exemple plus precis, ia figure 7 represente un serveur B relie a un 
reseau de communication 1 par Pintermediaire d'une interface de communication 
5 2, par exemple du type modem. De maniere analogue, une station de calcul 3 
est reliee au reseau 1 par une interface de communication 4. La station 3 est 
equipee d'un lecteur de carte a microcircuit 5, dans lequel est inseree la carte a 
microcircuit A. 

La memoire vive 6 du serveur B contient un programme 7 capable 
10 d'executer des calculs cryptographiques sur courbes eliiptiques, et en particulier 
le produit d'un point par un scalaire et la division d'un point par 2. 

La carte A comporte une unite centrale 11, une memoire vive dite "RAM" 
8, une memoire morte dite "ROM" 9 et une memoire reinscriptible dite 
"EEPROM" 10. L'une des memoires 9 ou 10 contient un programme 12 capable 
15 d'executer des calculs cryptographiques sur courbes eliiptiques, et en particulier 
le produit d'un point par un scalaire et la division d'un point par 2. 

Les deux programmes 7 et 12 ont une reference commune constitute 
d'une meme courbe elliptique (E) et d'un meme point P=(x 0 , yo) de (E). 

Lorsque A desire construire en parallele avec B une cle secrete commune 
20 pour securiser un dialogue avec B, il choisit un scalaire a et envoie a B le produit 
Q=[a]P=(x 1f y0. En reponse a cet envoi, B choisit un scalaire b et retoume a A le 
produit R=[b]P = (x 2 , y 2 ). 

A calcule alors le produit [a] R = [ab]P = (x, y), tandis que B calcuie le 
produit [b] Q = [ab]P = (x f y), et A et B adoptent x comme cle secrete commune. 
25 Ces operations peuvent etre representees par le tableau ci-dessous. 

Celles qui sont effectuees dans le serveur B sont indiquees dans la colonne de 
droite tandis que celles qui sont effectuees dans la carte A sont indiquees dans 
la colonne de gauche, les fleches horizontales symbolisant les transferts 
d'informations via le reseau 1 . 
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0 



® 



P = (xo, yo) 
choix a 
Q = [aF = (xi,yi) 



P = (xo, yo) 



choix b 



MR = (x, y) 



R = [b]P = (x 2l y 2 ) 
[b] Q = <x.y) 



cle = x 



cle = x 



Une autre application possible mettant en jeu ['invention est susceptible 
d'etre mise en ceuvre entre les deux entites A et B de la figure 7. II s'agit d'un 
protocole de signature d'un message M transmis entre A et B via le canal non 
securise, c'est-a-dire le reseau 1. Le but de ce protocole, connu dans ses 
grandes lignes, est d'apporter la certitude que le message regu par Tune des 
entites a bien ete ernis par celle avec laquelle elle correspond. 

Pour ce faire, I'entite emettrice (par exempie A) possede deux clefs 
permanentes, Tune secrete a et ('autre publique Q = [a] P, P etant un point d'une 
courbe elliptique (E), P et (E) etant connus et convenus par A et B. Une autre 
clef publique est constitute par le point P d'ordre impair r de la courbe elliptique 
E choisie, non supersinguliere. Les operations mises en jeu impliquent des 
divisions par deux, au sens defini ci-dessus. 

Selon un exempie possible : 

- la premiere entite (A) possedant ladite paire de clefs permanentes 
construit une paire de clefs a utilisation unique, Tune (g) etant choisie 
arbitrairement et I'autre, [g] P resultant d ! une multiplication scalaire de ladite clef 
(g) choisie arbitrairement par le point P public de ladite courbe elliptique, les 
coordonnees de cette clef ([g]P) etant notees (x,y) avec 2 < g < r-2, 

- la premiere entite (A) convertit le polynome x de ladite clef a utilisation 
unique [g]P = (x,y) en un entier i dont la valeur binaire est representee par la 
sequence des coefficients binaires dudit polynome x, 

- ladite premiere entite (A) calcule une signature (c,d) du message (M) de 
la fa?on suivante : 
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c = i modulo r 

d = g' 1 (M + ac) modulo r, 

- ladite premiere entite envoie ledit message (M) et ladite signature (c, d) 
a la seconde entite ; a reception 

5 - ladite seconde entite (B) verifie si les elements de ladite signature (c,d) 

appartiennent chacun a I'intervalle [1, r-1], 

- dans la negative, declare la signature non valide et stoppe 

- dans I'affirmative, ladite seconde entite (B) calcule trois parametres : 
h = d" 1 modulo r 
10 hi = Mh modulo r 

h»2 = ch modulo r 

- ladite seconde entite calcule un point T de ladite courbe elliptique par la 
somme des multiplications scalaires des points P et Q par les deux demiers 
parametres cites : 

15 T = [h 1 ]P + [h 2 ]Q 

si le point resultant T est I'element neutre, ladite seconde entite declare la 
signature non valide et stoppe. 

sinon, considerant le point T de coordonnees x' et y' : T = (x'y), 

- ladite seconde entite (B) convertit le polynome x' de ce point en un entier 
20 f dont la valeur binaire est representee par la sequence des coefficients binaires 

dudit polynome x\ 

- ladite seconde entite (B) calcule c' = P modulo r et, 

- verifie que c' = c pour valider ladite signature ou I'invalider dans le cas 
contraire, au moins une operation de multiplication scalaire precitee et, de 

25 preference toutes, etant effectuee a Paide de divisions par deux predefinies. 

Ces operations peuvent etre representees par le tableau ci-dessous ou 
les operations effectuees dans le serveur B sont indiquees dans la colonne de 
droite tandis que les operations effectuees dans la carte A sont indiquees dans 
la colonne de gauche, la fleche entre les deux colonnes symbolisant les 

30 transferts d'informations via le reseau 1 . 
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choix g 2< g < r-2 

[g] P = x, y 
x= ^t 1 ^i=X x * 2i 

message M 

c= i mod r 

d= g" 1 (M+ac) mod r 
M,(c,d) 



1< c < r-1 ? non 
Toui ▼ 
T erreur — 



1< d < r-1 ? non 
| oui ▼ 



erreur 



h = d" 1 mod r 
hi= Mh mod r 
h 2 = ch mod r 

T = [h,] P + [h 2 ] Q = (x', y') 

l 

T = 0 ? nni ^_ 

I non 

x'- ^t^i^x^ 

c- i' mod r 

c-c ? non 



4 



oui 



BON 
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REVENDICATIONS 

1 . Precede de cryptographie mis en oeuvre entre deux entites echangeant 
des informations a travers un canal de communication non securise, du type 
comprenant au moins une phase operatoire consistant a multiplier un point 
d'ordre impair d'une courbe elliptique non supersinguiiere par un entier, 
caracterise en ce que, dans le but de realiser Pechange d'informations a travers 
le canal de communication non securise, une telle phase operatoire comprend 
des additions et des divisions par deux de points de ladite courbe elliptique ou 
Paddition de points est une operation connue, et la division par deux d'un point P 
est definie comme le point unique D d'ordre impair tel que [2]D = P, un tel point 



etant note 



P, et ['operation de division par 2 : 



2. Procede selon la revendication 1, ou F, (l est un corps fini de 2 n 

elements, E(F 2B ) est le sous-groupe d'une courbe elliptique E, d6fini par : 

E(F 2 n ) = {(x,y)e F 2 n X F 2 n (y 2 + xy = x 3 + ax 2 + p} u {0} a, p € F 2 °, p ^ 0 
et E[2 k ] est Pensemble des points P de ladite courbe elliptique tels que P, 
additionne 2 k fois a lui-meme donne Pelement neutre O, avec k entier superieur 
ou egal a 1, caracteris6 en ce qu'un point P =(x,y) de ladite courbe elliptique 



donne par ladite division par deux le point 



P = (u 0 ,v o ) de ladite courbe 



elliptique, obtenu en effectuant les operations suivantes : 

• on cherche une premiere valeur A 0 telle que + Xo = a + x 

• on calcule une seconde valeur u 0 2 telle que u 0 2 = x + 1 ) + y 

• si k vaut 1, on cherche si Pequation : X 2 +A =a 2 +u 2 D a des solutions dans 
F 2 n , 

• dans Paffirmative on calcule ladite division par deux par : 



Uo= V U 0 2 

V 0 = U 0 (U 0 + Xo) 



et i P = (u 0 ,v 0 ) 
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dans la negative, on ajoute x a iadite deuxieme valeur u D 2 et on ajoute 1 a 
ladite premiere vaieur X 0 pour calculer Iadite division par deux comrne dans 
I'operation precedente; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur A, , telle que A j 2 + X\ = a + un 

puis calculer la valeur u 2 telle que u 2 = u M (h+ Xm + u M +1) 
en incremental i a partir de i = 1 jusqu'a obtenir la valeur u 2 k _i 

• on cherche si ('equation X 2 + X = a 2 + u 2 k -i a des solutions dans F 2 n 

• dans raffirmative on calcule ladite division par deux par : 

Uo= V U 0 2 

V 0 = U 0 (U 0 + Xo) 



et 



P = (U 0 . V 0 ) 



• dans la negative, on ajoute x a ladite deuxieme valeur u Q 2 et on ajoute 1 a 
ladite premiere valeur 7^ pour calculer ladite division par deux comme dans 
Poperation precedente. 

3. Procede selon la revendication 1 ou : F2 n est un corps fini de 2 n 
elements, E(F 2 n )est le sous-groupe d'une courbe elliptique E f defini par : 

E(F 2 n ) = {(x.y)e F 2 n X F 2 n ly 2 + xy = x 3 + ax 2 + (3} u {0} a, p s F 2 B , p * 0 
et E[2 k ] est Tensemble des points P de ladite courbe elliptique tels que P, 
additionne 2 k fois a iui meme donne Telement neutre O, avec k entier superieur 
ou egal a 1 , caracterise en ce qu'un point P = (x,y) de ladite courbe elliptique 



donne par ladite division par deux le point 



P = (Uo, U 



avec Xo = u 0 + Vo/u 0 obtenu en effectuant les operations suivantes : 

• on cherche une premiere valeur X 0 telle que X 0 2 + X Q = a + x 

• on calcule une seconde valeur u 0 2 telle que : u 0 2 = x (?^> + 1 ) + y 

• si k vaut 1, on cherche si ('equation : X 2 +A, =a 2 +u Q 2 a des solutions dans 

• dans ['affirmative on calcule iadite division par deux par ; 

Uo= V U 0 2 
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et 1 P = (u 0f ?0 

• dans la negative, on ajoute x a ladite deuxieme valeur u 0 2 et on ajoute 1 a 
ladite premiere valeur 7^ pour calculer ladite division par deux comme dans 
I'operation precedente ; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur X \ , telle que X \ 2 + X\ = a + Um 

puis calculer la valeur Uj 2 telle que u 2 = u M (h+X\-<\ + u M +1) 
en incremental i a partir de i = 1 jusqu'a obtenir la valeur u 2 k -i 

• on cherche si ['equation X 2 + X = a 2 + u 2 k -i a des solutions dans F 2 „ 

• dans Taffirmative on calcule ladite division par deux par : 

U 0 = V U o 2 et 



P = (U 0 , Xo) 



• dans la negative, on ajoute x a ladite deuxieme valeur u D 2 et on ajoute 1 a 
ladite premiere valeur ?^ pour calculer ladite division par deux comme dans 
Top6ration precedente. 

4. Proced6 selon la revendication 1 ou : 
F 2 fl est un corps fini de 2 n elements, E(F 2 °) est le sous-groupe d'une courbe 
elliptique E t defini par : 

E(F 2 ") = {(x,y)e F 2 n X F 2 n ly 2 + xy = x 3 + ax 2 + p} u {0} a, p e F 2 n , P * 0 
et E[2 k ] est ('ensemble des points P de ladite courbe elliptique tels que P, 
additionne 2 k fois a lui meme donne ('element neutre O avec k entier superieur 
ou egal a 1, caracterise en ce qu'un point P = (x,y) de ladite courbe elliptique 
represents par (x,X p ) avec X p = x + y/x donne par ladite division par deux le point 
f 

suivantes : 

• on cherche une premiere valeur Xo telle que X 2 + X Q = a + x 

• on calcule une seconde valeur u 0 2 telle que : u Q 2 = x (Xq + X p + x +1 ), 

• si k vaut 1, on cherche si Tequation : X 2 +X =a 2 +u c 2 a des solutions dans 
F 2 n , 

• dans raffirmative on calcule ladite division par deux par : 



P = (u 0 , v G ) de ladite courbe elliptique obtenu en effectuant les operations 
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2 

0 



V 0 =U 0 (Uo + Xq) 



et 



P = (U 0 , V 0 ) 



• dans la negative, on ajoute x a ladite deuxieme vateur u D 2 et on ajoute 1 a 
5 ladite premiere valeur Xo pour calculer ladite division par deux comme dans 

I'operation precedente ; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une valeur X \ , telle que X \ 2 + ^ = a + Um 

puis calculer la valeur u 2 telle que u 2 = u M (X\ + Vi + +1) 
10 en incremental i a partir de i =1 jusqu'a obtenir la valeur u 2 k -i 

• on cherche si ('equation X 2 + X = a 2 + u 2 m a des solutions dans F 2 ° dans 
['affirmative on calcule ladite division par deux par : 



2 

L 0 



v 0 = u 0 (u 0 + 7*>) 



15 et 



P = (Uo, V 0 ) 



• dans la negative, on ajoute x a ladite deuxieme valeur u D 2 et on ajoute 1 a 
ladite premiere valeur Xo pour calculer ladite division par deux comme dans 
I'operation precedente. 

5. Procede selon la revendication 1 ou : F 2 n est un corps fini de 2 n 

20 elements, E(F 2 n ) est le sous-groupe d f une courbe elliptique E, defini par : 

E(p2 n ) = {(x,y)€ F 2 n X F 2 n (y 2 + X y = x 3 + ax 2 + p} u {O} a,pe F 2 n , P * 0 
et E[2 k ] est I'ensemble des points P de ladite courbe elliptique tels que P, 
additionne 2 k fois a lui meme donne I'eiement neutre 0, avec k entier superieur 
ou egal a 1, caracterise en ce qu'un point P = (x,y) de ladite courbe elliptique 

25 represents par (x,Xp) avec X p = x + y/x donne par ladite division par deux le point 



P = (u 0 , v 0 ) de ladite courbe elliptique represents par 



(u 0 . Xo), avec Xo = u Q + Vo/u 0 , obtenu en effectuant les operations suivantes : 
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• on cherche une premiere valeur Xo telle que ? K 2 + 7^ = a + x 

• on calcule une seconde valeur u 0 2 telle que : u G 2 = x (?. 0 + Xp + x +1 ), 

• si k vaut 1, on cherche si Tequation : X 2 +Z = a 2 +u D 2 a des solutions dans 
F 2 n , 

• dans ['affirmative on calcule ladite division par deux par : 



et 



P = (Uo, Xo) 



• dans la negative, on ajoute x a ladite deuxieme valeur u D 2 et on ajoute 1 a 
ladite premiere valeur X 0 pour calculer ladite division par deux comme dans 
('operation precedente; 

• si k est plus grand que 1 , on effectue un calcul iteratif consistant a : 
chercher une vaieur X \ , telle que X \ 2 + X\ = a + Um 

puis calculer la valeur u 2 telle que u 2 = un (?^ + + u M +1) 
en incremental i a partir de i = 1 jusqu'a obtenir la valeur u 2 k -i 

• on cherche si I'equation X 2 + X = a 2 + u 2 k -i a des solutions dans F 2 n 

• dans raffirmative on calcule ladite division par deux par : 



U 0 = V U 



2 

0 



et 



P = (u 0 , Xo) 



• dans la negative, on ajoute x a ladite deuxieme valeur u G 2 et on ajoute 1 a 
ladite premiere valeur Xo pour calculer ladite division par deux comme dans 
Poperation precedente. 

6. Procede selon Tune des revendications precedentes, caracterise en ce 
qu'il s'agit d'un protocole de construction d'une clef commune a partir de deux 
clefs secretes appartenant respectivement aux deux entites precitees et d'une 
clef publique constitute par un point P d'ordre impair r d'une courbe elliptique E 
choisie et non supersinguliere. 

7. Procede selon la revendication 6, caracterise en ce que, de fagon 
connue en soi, a et b etant les clefs secretes d'une premiere et d'une seconde 
entites, respectivement 
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- la premiere entite calcule ia multiplication scalaire [a]P et envoie le point 
resultat a ia seconde entite, 

- la seconde entite caicuie la multiplication scalaire [b]P et envoie le point 
resultat a ia premiere entite, 

5 - les deux entites calculent respectivement un point commun C = (x,y) de 

ladite courbe elliptique (E) en effectuant respectivement les multiplications 
scalaires [a] (fb]P) et [b] ([a]P), toutes deux egales a [a.b]P, 

- les deux entites choisissent comme clef commune la coordonnee (x) 
dudit point commun (C) obtenu par ladite multiplication scalaire [a.b]P, au moins 

10 Tune des multiplications scalaires precedentes, et de preference toutes, etant 
effectuee a Taide de divisions par deux predefinies. 

8. Procede selon Tune des revendications 1 a 5, caracterise en ce qu'ii 
s f agit d'un protocole de signature entre deux entites a partir d'une paire de clefs 
permanentes appartenant a I'une des entites, Tune secrete (a) et Pautre publique 

1 5 (Q), resultant de la multiplication scalaire de la clef secrete (a) par une autre clef 
publique constitute par un point (P) d'ordre impair r d'une courbe elliptique (E) 
choisie et non supersinguliere. 

9. Procede selon la revendication 8, caracterise par les operations 
suivantes : 

20 - la premiere entite (A) possedant ladite paire de clefs permanentes 

construit une paire de clefs a utilisation unique, Tune (g) etant choisie 
arbitrairement et Tautre [g]P resultant d'une multiplication scalaire de ladite clef 
(g) choisie arbitrairement par le point P public de ladite courbe elliptique, les 
coordonnees de cette clef ([g]P) etant notees (x,y) avec 2 < g < r-2, 

25 - la premiere entite (A) convertit le polynome x de ladite clef a utilisation 

unique [g]P = (x,y) en un entier i dont la valeur binaire est representee par la 
sequence des coefficients binaires dudit polynome x, 

- ladite premiere entite (A) calcule une signature (c,d) du message (M) de 
la fagon suivante : 

30 c = i modulo r 

d = g" 1 (M + ac) modulo r, 

- ladite premiere entite envoie ledit message (M) et ladite signature (c, d) 
a la seconde entite ; a reception 
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- ladite seconde entite (B) verifie si les elements de ladite signature (c,d) 
appartiennent chacun a I'intervalle [1 , r-1], 

- dans la negative, declare la signature non valide et stoppe, 

- dans ('affirmative, ladite seconde entite (B) calcule trois parametres : 
h = d" 1 modulo r 
hi = Mh modulo r 
h2 = ch modulo r 

- ladite seconde entite calcule un point T de ladite courbe elliptique par la 
somme des multiplications scalaires des points P et Q par les deux demiers 
parametres cites : 

T = [h 1 ]P + [h 2 ]Q 

si le point resultant T est ('element neutre, ladite seconde entite declare la 
signature non vaiide et stoppe, 

sinon, considerant le point T de coordonnees x' et y' : T = (x\y'), 

- ladite seconde entite (B) convertit le polynome x' de ce point en un entier 
P dont la valeur binaire est representee par la sequence des coefficients binaires 
dudit polynome x\ 

-ladite seconde entite (B) calcule c r = i* modulo r et, 

- verifie que c' = c pour valider ladite signature ou I'invalider dans le cas 
contraire, au moins une operation de multiplication scalaire precitee et, de 
preference toutes, etant effectuee a Taide de divisions par deux predefines. 

10. Procede selon la revendication 7 ou 9, caracterise en ce qu'une 
multiplication scalaire precitee utilisant des divisions par deux est obtenue par 
les operations suivantes : 

- si ledit scalaire de la multiplication est note S, on choisit m+1 valeurs 
So... Sm € {0,1} pourdefinirS par: 



r etant I'ordre impair precite et m etant rentier unique compris entre 
log 2 (r)-1 et log 2 (r), 

on calcule la multiplication scalaire [S]P d f un point P de ladite courbe 
elliptique par le scalaire S par application d'un algorithme consistant a 
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determiner la suite de points (Q m+ i, Q m ,. M Qj..., Q 0 ) de ladite courbe ellipttque E 
telle que : 

Qm+i = O (element neutre) 

Qi = [SJP + 

5 le calcul du dernier point Q 0 de ladite suite donnant le resultat [S] P de 

ladite multiplication scalaire. 



Q i+ 1 avec o < i < m 
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FIG. 2 




IblP 

[Q](lb]P)=(x,y)— x 



WO 01/04742 PCT/FR00/01979 

3/7 



FIG. 3 




calculer ?. 0 tel que : X 0 2 + K - a + x 

I 



calculer u 0 2 tel que : u 0 2 = x(Xo+1) + y 
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FIG A 




calculer a 0 tel que : V* + Xo = a + x 



I 



calculer u 0 2 tel que : u 0 2 = x (X 0 + 1 ) + y 
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FIG. 5 

(Debut 



calculer x 0 tel que : + = a + x 



calculer u 0 2 tel que: u 0 2 =x (k 0 +X p + x + 1 ) 
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calculer x Q tel que : A*, 2 + \» - a + x 



I 
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